Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
KYBERNETICKÁ BEZPEČNOST V ČESKÉ REPUBLICEa právní aspekty jejího zajišťování
POLČÁK, Radim. a kol. Právo informačních technologií. 1. vyd. Praha: Wolters Kluwer, 2018. 656 s.
ISBN 978-80-7598-045-8. Kapitola 11 Kyberkriminalita a 12 Kybernetická bezpečnost
POLČÁK, Radim. HARAŠTA, Jakub. STUPKA, Václav. Právní problémy kybernetické bezpečnosti.
1. vyd. Brno: Masarykova univerzita, Právnická fakulta, 2016. 215 s. ISBN 978‐80-210‐8426‐1.
Dostupné zde:
https://science.law.muni.cz/knihy/monografie/Polcak_Kyberneticka_bezpecnost.pdf
KOLOUCH, Jan. BAŠTA, Pavel. a kol. Cybersecurity. 1. vyd. Praha: CZ.NIC, z. s. p. o., 2019. 562 s.
ISBN 978-80-88168-34-8.
Dostupné zde: https ://knihy.nic.cz/files/edice/cybersecurity.pdf
Národní úřad pro kybernetickou a informační bezpečnost, podpůrné materiály.
Dostupné zde: https://www.govcert.cz/cs/regulace-a-kontrola/podpurne-materialy/
STUDIUM PRÁVA KYBERNETICKÉ BEZPEČNOSTI
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 22020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
https://science.law.muni.cz/knihy/monografie/Polcak_Kyberneticka_bezpecnost.pdfhttps://science.law.muni.cz/knihy/monografie/Polcak_Kyberneticka_bezpecnost.pdfhttps://knihy.nic.cz/files/edice/cybersecurity.pdfhttps://www.govcert.cz/cs/regulace-a-kontrola/podpurne-materialy/
1. Kybernetická bezpečnost – proč je důležitá a jak je řešena
2. Právní rámec kybernetické bezpečnosti v ČR
3. Kybernetická bezpečnost infrastruktury v ČR
4. Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB)
OSNOVA
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 32020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
KYBERNETICKÁ BEZPEČNOST
4
Proč je důležitá a jak je řešena
TLP: WHITE 42020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Rostoucí závislost na kyberprostoru a ICT
Vláda, armáda, policie, finanční instituce, energetika, průmysl, doprava, zdravotnictví
Vedení registrů, zpracovávání obrovského množství osobních údajů
Nové technologie = nová rizika
IoT, Smart Grid,
Smart Cities, E-Health,
sítě 5G, AI
Rostoucí trend
kyberkriminalityWeb:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 52020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
KYBERNETICKÁ BEZPEČNOST JAKO TREND?
Kybernetické útoky s globálním dopadem – Stuxnet 2009, Red October 2007, …
Kybernetické útoky destruktivní – Shamoon 2012, Aurora 2007, Farewell 1982, …
Politicky motivované aktivity – destrukce, sabotáž (Ukrajina 2013, Gruzie 2008, Estonsko 2007, …)
Kybernetická špionáž
Státní (OPM 2015, Kukaččí vejce 1986, …)
Korporátní (intelektuální vlastnictví, F-35 JSF, …)
Hacktivismus (Anonymous)
Kriminální kybernetická aktivita
Krádeže osobních a finančních dat
Zdravotnická dokumentace (vydírání)
Ransomware (zašifrování dat) – Ryuk (+Emotet, Trickbot) 2019, Wanna Cry 2018, Petya 2017, …
KYBERNETICKÉ ÚTOKY
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 62020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Kyberprostor dnes propojuje všechny ostatní oblasti boje a vojenské technologie, zajišťuje jejich
funkčnost, a zároveň jsou na něm i kriticky závislé.
Summit NATO ve Walesu 2014 – kybernetické útoky mohou aktivovat článek 5
Summit NATO ve Varšavě 2016 – kyberprostor novou operační doménou (článek 3)
„… Now, in Warsaw, we reaffirm NATO's defensive mandate, and recognise cyberspace as a
domain of operations in which NATO must defend itself as effectively as it does in the air, on land,
and at sea. This will improve NATO's ability to protect and conduct operations across these
domains and maintain our freedom of action and decision, in all circumstances. It will support
NATO's broader deterrence and defence: cyber defence will continue to be integrated into
operational planning and Alliance operations and missions, and we will work together to contribute
to their success…“
Warsaw Summit Communiqué issued by the Heads of State and Government participating in the
meeting of the North Atlantic Council in Warsaw 8-9 July 2016
KYBERNETICKÝ PROSTOR JAKO BOJIŠTĚ
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 72020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
KYBERNETICKÝ PROSTOR JAKO BOJIŠTĚ
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 82020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
geograficky stanovené (víceméně jasné) hranice
nejasné hranice
ZASAZENÍ PŘÍBĚHU
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 92020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Zdroj: https://securelist.com/darkvishnya/89169/
Zdroj: https://thehackernews.com/2017/08/car-safety-hacking.html
Zdroj: https://www.voanews.com/usa/cyber-firm-rewrites-part-disputed-russian-hacking-report
KYBERNETICKÁ BEZPEČNOST
10TLP: WHITE 102020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Právní rámec v České republice
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 112020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 122020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Zpravodajské aktivity v kyberprostoru
Kybernetická bezpečnost (určování, cvičení, odolnost, kontroly, incident handling)
Kybernetická kriminalita
Kybernetická obrana
čas
Kybernetický bezpečnostní incident
Proaktivní aktivity Reaktivní aktivity
V minulosti byla kybernetická bezpečnost roztříštěná. Byla řešena pouze individuálně, bez
potřebné koordinace a konzistence ze strany státu.
Předchozí národní koordinátoři kybernetické bezpečnosti
Ministerstvo informatiky (částečně, do roku 2007)
Ministerstvo vnitra (od roku 2007 do 2011)
19. října 2011 – Národní bezpečnostní úřad ustanoven vládou jako národní autorita v oblasti
kybernetické bezpečnosti
vybudování Národního centra kybernetické bezpečnosti, přípravě a přijetí zák. o kybernetické
bezpečnosti, vytvoření Rady pro kybernetickou bezpečnost, specializovaná instituce, legislativní
ukotvení, strategický poradní orgán
HISTORIE
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 132020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 142020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
VLÁ
DA
ČE
SKÉ
REP
UB
LIK
Y
Bezpečnostní rada státu
Národní úřad pro kybernetickou a
informační bezpečnost
Bezpečnostní informační služba
Ministerstvo obrany
Výbor pro kybernetickou bezpečnost
Národní centrum kybernetické bezpečnosti
Vládní CERT(GovCERT.CZ)a další odbory
Generální štáb Armády České republiky
Vojenské zpravodajství
Národní CERT(CSIRT.CZ)
Vojenský CERT(CIRC Centre)
Velitelství kybernetických sil a informačních operací
Národní centrum kybernetických operací
veřejnoprávní smlouva
Ministerstvo vnitra
Policie České republiky
Úřad pro zahraniční styky a informace
Národní centrála proti organizovanému zločinu
Výbor pro kybernetickou bezpečnostZdroj: https://www.vlada.cz/cz/ppov/brs/pracovni-vybory/kyberneticka_bezpecnost/vybor-pro-kybernetickou-bezpecnost-159932/
Národní centrum kybernetické bezpečnosti a Vládní CERTZdroj: https://www.govcert.cz/
Národní CERTZdroj: https://csirt.cz/cs/
Národní centrála proti organizovanému zločinu Zdroj: https://www.policie.cz/clanek/narodni-centrala-proti-organizovanemu-zlocinu-skpv.aspx
Úřad pro zahraniční styky a informaceZdroj: https://www.uzsi.cz/cs/co-delame/
Vojenský CERT (CIRC Centre)Zdroj: http://www.circ.army.cz/
Velitelství kybernetických sil a informačních operacíZdroj: http://www.acr.army.cz/struktura/generalni/kyb/velitelstvi-kybernetickych-sil-a-informacnich-operaci-214169/
Národní centrum kybernetických operacíZdroj: https://www.vzcr.cz/kyberneticka-obrana-46
Bezpečnostní informační službaZdroj: https://www.bis.cz/kyberneticka-bezpecnost/
+ Rada pro kybernetickou bezpečnostZdroj: https://www.govcert.cz/cs/rkb/
ZÁKLADNÍ ZDROJE INFORMACÍ O ORGANIZACÍCH
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 152020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
https://www.vlada.cz/cz/ppov/brs/pracovni-vybory/kyberneticka_bezpecnost/vybor-pro-kybernetickou-bezpecnost-159932/https://www.govcert.cz/https://csirt.cz/cs/https://www.policie.cz/clanek/narodni-centrala-proti-organizovanemu-zlocinu-skpv.aspxhttps://www.uzsi.cz/cs/co-delame/http://www.circ.army.cz/http://www.acr.army.cz/struktura/generalni/kyb/velitelstvi-kybernetickych-sil-a-informacnich-operaci-214169/https://www.vzcr.cz/kyberneticka-obrana-46https://www.bis.cz/kyberneticka-bezpecnost/https://www.govcert.cz/cs/rkb/
KYBERNETICKÁ BEZPEČNOST
16TLP: WHITE 162020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Ochrana infrastruktury v České republice obecně
Hlavním právním předpisem v rámci EU je tzv. směrnice NIS.
Ústředním právním předpisem je zákon o kybernetické bezpečnosti.
Zákon především definuje povinné orgány a osoby a jejich povinnosti.
Povinných orgánů a osob je několik různých druhů.
K jejich určení je potřeba prováděcích právních předpisů, které uvádějí kritéria, jak je určit.
nařízení vlády o kritériích pro určení prvků kritické infrastruktury
vyhláška o významných informačních systémech
vyhláška o provozovatelích základních služeb
Když jsou známy povinné osoby a orgány, musí tyto plnit určené povinnosti.
Povinnosti plynou přímo ze zákona, prováděcí právní předpisy je konkretizují.
vyhláška o kybernetické bezpečnosti
prováděcí nařízení Komise o bližším upřesnění prvků, které musí poskytovatelé digitálních služeb
zohledňovat při řízení bezpečnostních rizik
JEDNODUŠE PRO ZAČÁTEK…
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 172020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti
Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury
Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích
Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby
Vyhláška č. 82/2018 Sb., o kybernetické bezpečnosti
Směrnice Evropského parlamentu a Rady (EU) 2016/1148 ze dne 6. července 2016 o opatřeních
k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v Unii (tzv. „směrnice
NIS“)
Prováděcí nařízení Komise (EU) 2018/151 ze dne 30. ledna 2018, kterým se stanoví pravidla pro
uplatňování směrnice Evropského parlamentu a Rady (EU) 2016/1148, pokud jde o bližší upřesnění
prvků, které musí poskytovatelé digitálních služeb zohledňovat při řízení bezpečnostních rizik, jimiž
jsou vystaveny sítě a informační systémy, a parametrů pro posuzování toho, zda je dopad
incidentu významný
PRÁVNÍ RÁMEC
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 182020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Upravuje práva a povinnosti osob a působnost a pravomoci orgánů veřejné moci v oblasti
kybernetické bezpečnosti.
Obsahuje základní nezbytné definice.
Transponuje směrnici NIS.
Cílem je stanovit základní úroveň bezpečnostních opatření, zlepšit detekci a zavést hlášení
kybernetických bezpečnostních incidentů, zavést systém opatření k reakci na kybernetické
bezpečnostní incidenty a upravit činnost dohledových pracovišť.
Zavádí stav kybernetického nebezpečí.
Zřizuje Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB).
ZÁKON O KYBERNETICKÉ BEZPEČNOSTI
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 192020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Zákon o kybernetické bezpečnosti upravuje 13 povinných osob a orgánů rozdělených do
8 skupin, tvořících jednotlivá písmena 3. Především:
správce nebo provozovatele informačního nebo komunikačního systému kritické informační
infrastruktury (KII)
správce a provozovatel významného informačního systému (VIS)
správce a provozovatel informačního systému základní služby (ISZS)
poskytovatel digitální služby (PDS, lépe DSP)
Zákon o kybernetické bezpečnosti upravuje čtyři základní povinnosti pro většinu orgánů
a osob, na které dopadá. Těmi jsou následující:
povinnost hlášení kontaktních údajů ( 16)
povinnost hlášení kybernetických bezpečnostních incidentů ( 8)
povinnost zavádět bezpečnostních opatření ( 4)
povinnost provádět reaktivní a ochranná opatření ( 11 a násl.)
ZÁKON O KYBERNETICKÉ BEZPEČNOSTI
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 202020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury
obsahuje průřezová a odvětvová kritéria pro určení prvků kritické informační infrastruktury
(stejně tak jako pro určení prvků kritické infrastruktury)
Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích
obsahuje dopadová a oblastní určující kritéria pro identifikaci významných informačních
systémů
obsahuje seznam významných informačních systémů (ale ne všech)
Vyhláška č. 437/2017 Sb., o kritériích pro určení provozovatele základní služby
obsahuje odvětvová a dopadová kritéria pro určení provozovatelů základních služeb
a informačních systémů základních služeb
PROVÁDĚCÍ PRÁVNÍ PŘEDPISY („URČOVACÍ“)
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 212020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Vyhláška č. 82/2018 Sb., vyhláška o kybernetické bezpečnosti
konkretizuje bezpečnostní opatření, které musí orgány a osoby ze zákona přijímat (s výjimkou
poskytovatele digitální služby)
Prováděcí nařízení Komise (EU) 2018/151 ze dne 30. ledna 2018, kterým se stanoví pravidla
pro uplatňování směrnice Evropského parlamentu a Rady (EU) 2016/1148, pokud jde o bližší
upřesnění prvků, které musí poskytovatelé digitálních služeb zohledňovat při řízení
bezpečnostních rizik, jimiž jsou vystaveny sítě a informační systémy, a parametrů pro
posuzování toho, zda je dopad incidentu významný
konkretizuje bezpečnostní opatření, které musí poskytovatel digitální služby přijímat
PROVÁDĚCÍ PRÁVNÍ PŘEDPISY („POVINNOSTNÍ“)
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 222020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Kybernetický prostor je digitální prostředí umožňující vznik, zpracování a výměnu informací,
tvořené informačními systémy, a službami a sítěmi elektronických komunikací
Bezpečnost informací je zajištění důvěrnosti, integrity a dostupnosti informací a dat.
Bezpečnostním opatřením se rozumí souhrn úkonů, jejichž cílem je zajištění bezpečnosti
informací v informačních systémech a dostupnosti a spolehlivosti služeb a sítí elektronických
komunikací v kybernetickém prostoru.
Kybernetickou bezpečnostní událostí je událost, která může způsobit narušení bezpečnosti
informací v informačních systémech nebo narušení bezpečnosti služeb anebo bezpečnosti
a integrity sítí elektronických komunikací.
Kybernetickým bezpečnostním incidentem je narušení bezpečnosti informací v informačních
systémech nebo narušení bezpečnosti služeb anebo bezpečnosti a integrity sítí elektronických
komunikací v důsledku kybernetické bezpečnostní události.
Opatřeními se rozumí úkony, jichž je třeba k ochraně informačních systémů nebo služeb a sítí
el. kom. před hrozbou v oblasti kybernetické bezpečnosti nebo před kyb. bezpečnostním
incidentem anebo k řešení již nastalého kyb. bezpečnostního incidentu.
DŮLEŽITÉ DEFINICE
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 232020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Správcem informačního systému je ten, kdo určuje účel zpracování informací a podmínky jeho
provozování.
Správcem komunikačního systému je ten, kdo určuje účel komunikačního systému a podmínky
jeho provozování.
tj. ten, kdo systém „vlastní“, vždy jen jeden subjekt
Provozovatelem informačního nebo komunikačního systému
je ten, kdo zajišťuje funkčnost technických (hardware)
a programových (software) prostředků jej tvořících.
tj. „důležití“ nebo „hlavní“ dodavatelé, obvykle více subjektů
X
Nezaměňovat s provozovatelem základní služby!
SPRÁVCE A PROVOZOVATEL
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 242020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 252020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Zákon č. 240/2000 Sb.,
o krizovém řízení a o
změně některých
zákonů (krizový zákon)
Nařízení vlády
č. 432/2010 Sb.,
o kritériích pro
určení prvku KI
ve znění novely
č. 315/2014 Sb.
ZKB
Významný
informační
systém
(VIS)
definuje
určuje
kritéria
definuje
definuje
Vyhláška
č. 317/2014 Sb.,
o významných
informačních
systémech
a jejich
určujících
kritériích
Vyhláška
č. 82/2018 Sb.,
o kybernetické
bezpečnosti
(VKB)
provádí provádí
NÚKIB
Regulovaná
osoba
ISMS
vydává,
novelizuje
kontroluje soulad
ISMS orgánu nebo osoby
se zákonem
provádí
alespoň
v rozsahu
stanoveném
v ZKBurčuje
kritéria
Vyhláška č. 437/2017 Sb., o kritériích pro
určení provozovatelů
základních služeb
provádí
spolupracuje
má povinnost
řídit se
Informační
systém základní
služby
(ISZS)
Základní
služba
(ZS)
definuje
určuje
kritéria
definuje
určuje
kritéria
Digitální
služba
(DS)
definuje
poskytování je
závislé na
Kritická
infrastruktura
(KI)
Kritická
informační
infrastruktura
(KII)
podporuje,
je součástí
využívá
aktiva
Prováděcí
nařízení Komise
(EU)
2018/151
ze dne
30. ledna 2018
určuje
některá
kritéria
KYBERNETICKÁ BEZPEČNOST
26TLP: WHITE 262020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Ochrana infrastruktury v České republice – Kritická informační infrastruktura
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 272020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Zákon č. 240/2000 Sb.,
o krizovém řízení a o
změně některých
zákonů (krizový zákon)
Nařízení vlády
č. 432/2010 Sb.,
o kritériích pro
určení prvku KI
ve znění novely
č. 315/2014 Sb.
ZKB
Významný
informační
systém
(VIS)
definuje
určuje
kritéria
definuje
definuje
Vyhláška
č. 317/2014 Sb.,
o významných
informačních
systémech
a jejich
určujících
kritériích
Vyhláška
č. 82/2018 Sb.,
o kybernetické
bezpečnosti
(VKB)
provádí provádí
NÚKIB
Regulovaná
osoba
ISMS
vydává,
novelizuje
kontroluje soulad
ISMS orgánu nebo osoby
se zákonem
provádí
alespoň
v rozsahu
stanoveném
v ZKBurčuje
kritéria
Vyhláška č. 437/2017 Sb., o kritériích pro
určení provozovatelů
základních služeb
provádí
spolupracuje
má povinnost
řídit se
Informační
systém základní
služby
(ISZS)
Základní
služba
(ZS)
definuje
určuje
kritéria
definuje
určuje
kritéria
Digitální
služba
(DS)
definuje
poskytování je
závislé na
Kritická
infrastruktura
(KI)
Kritická
informační
infrastruktura
(KII)
podporuje,
je součástí
využívá
aktiva
Prováděcí
nařízení Komise
(EU)
2018/151
ze dne
30. ledna 2018
určuje
některá
kritéria
Správce a provozovatel informačního systému kritické informační infrastruktury ( 3 písm. c).
Správce a provozovatel komunikačního systému kritické informační infrastruktury ( 3 písm. d).
Kritickou informační infrastrukturou je prvek nebo systém prvků kritické infrastruktury v odvětví
komunikační a informační systémy v oblasti kybernetické bezpečnosti v rámci nařízení vlády
č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury.
Příklady: Ústřední orgány státní správy, energie, telekomunikace, finance,…
Postup určení:
Organizační složky státu: Vláda určí usnesením (NÚKIB zasílá Ministerstvu vnitra návrh těchto
prvků po přezkoumání naplnění kritérií z nařízení vlády)
nebo
Ostatní: NÚKIB určí vydáním opatření obecné povahy po přezkoumání naplnění kritérií
z nařízení vlády.
KRITICKÁ INFORMAČNÍ INFRASTRUKTURA (KII)
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 282020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
KYBERNETICKÁ BEZPEČNOST
29TLP: WHITE 292020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Ochrana infrastruktury v České republice – Významné informační systémy
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 302020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Zákon č. 240/2000 Sb.,
o krizovém řízení a o
změně některých
zákonů (krizový zákon)
Nařízení vlády
č. 432/2010 Sb.,
o kritériích pro
určení prvku KI
ve znění novely
č. 315/2014 Sb.
ZKB
Významný
informační
systém
(VIS)
definuje
určuje
kritéria
definuje
definuje
Vyhláška
č. 317/2014 Sb.,
o významných
informačních
systémech
a jejich
určujících
kritériích
Vyhláška
č. 82/2018 Sb.,
o kybernetické
bezpečnosti
(VKB)
provádí provádí
NÚKIB
Regulovaná
osoba
ISMS
vydává,
novelizuje
kontroluje soulad
ISMS orgánu nebo osoby
se zákonem
provádí
alespoň
v rozsahu
stanoveném
v ZKBurčuje
kritéria
Vyhláška č. 437/2017 Sb., o kritériích pro
určení provozovatelů
základních služeb
provádí
spolupracuje
má povinnost
řídit se
Informační
systém základní
služby
(ISZS)
Základní
služba
(ZS)
definuje
určuje
kritéria
definuje
určuje
kritéria
Digitální
služba
(DS)
definuje
poskytování je
závislé na
Kritická
infrastruktura
(KI)
Kritická
informační
infrastruktura
(KII)
podporuje,
je součástí
využívá
aktiva
Prováděcí
nařízení Komise
(EU)
2018/151
ze dne
30. ledna 2018
určuje
některá
kritéria
Správce a provozovatel významného informačního systému ( 3 písm. e).
Významným informačním systémem se rozumí informační systém spravovaný orgánem veřejné
moci, který není kritickou informační infrastrukturou ani informačním systémem základní služby
a u kterého narušení bezpečnosti informací může omezit nebo výrazně ohrozit výkon působnosti
orgánu veřejné moci.
Příklady: Orgány státní správy (rejstříky, chod úřadu,…)
Postup identifikace:
Orgán veřejné moci posoudí naplnění kritérií dle vyhlášky č. 317/2014 Sb. a nahlásí se jako
povinná osoba NÚKIB.
nebo
Informační systém je zahrnut do přílohy vyhlášky č. 317/2014 Sb.
VÝZNAMNÝ INFORMAČNÍ SYSTÉM (VIS)
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 312020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
KYBERNETICKÁ BEZPEČNOST
32TLP: WHITE 322020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Ochrana infrastruktury v České republice – Základní služba
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 332020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Zákon č. 240/2000 Sb.,
o krizovém řízení a o
změně některých
zákonů (krizový zákon)
Nařízení vlády
č. 432/2010 Sb.,
o kritériích pro
určení prvku KI
ve znění novely
č. 315/2014 Sb.
ZKB
Významný
informační
systém
(VIS)
definuje
určuje
kritéria
definuje
definuje
Vyhláška
č. 317/2014 Sb.,
o významných
informačních
systémech
a jejich
určujících
kritériích
Vyhláška
č. 82/2018 Sb.,
o kybernetické
bezpečnosti
(VKB)
provádí provádí
NÚKIB
Regulovaná
osoba
ISMS
vydává,
novelizuje
kontroluje soulad
ISMS orgánu nebo osoby
se zákonem
provádí
alespoň
v rozsahu
stanoveném
v ZKBurčuje
kritéria
Vyhláška č. 437/2017 Sb., o kritériích pro
určení provozovatelů
základních služeb
provádí
spolupracuje
má povinnost
řídit se
Informační
systém základní
služby
(ISZS)
Základní
služba
(ZS)
definuje
určuje
kritéria
definuje
určuje
kritéria
Digitální
služba
(DS)
definuje
poskytování je
závislé na
Kritická
infrastruktura
(KI)
Kritická
informační
infrastruktura
(KII)
podporuje,
je součástí
využívá
aktiva
Prováděcí
nařízení Komise
(EU)
2018/151
ze dne
30. ledna 2018
určuje
některá
kritéria
Správce a provozovatel informačního systému základní služby ( 3 písm. f).
Provozovatel základní služby ( 3 písm. g).
Základní službou je služba, jejíž poskytování je závislé na informačních systémech nebo sítích
elektronických komunikací („komunikačních systémech“) a jejíž narušení by mohlo mít významný
dopad na zabezpečení společenských nebo ekonomických činností v některém z odvětví
energetiky, dopravy, bankovnictví, infrastruktury finančních trhů, zdravotnictví, vodního
hospodářství, digitální infrastruktury nebo chemického průmyslu.
Příklady: Zdravotnictví, bankovnictví, digitální infrastruktura,…
Postup určení:
NÚKIB určí provozovatele základní služby a informační systém základní služby vydáním
rozhodnutí po přezkoumání naplnění kritérií z Vyhlášky č. 437/2017 Sb., o kritériích pro určení
provozovatele základní služby.
ZÁKLADNÍ SLUŽBA
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 342020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
KYBERNETICKÁ BEZPEČNOST
35TLP: WHITE 352020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Ochrana infrastruktury v České republice – Digitální služba
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 362020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Zákon č. 240/2000 Sb.,
o krizovém řízení a o
změně některých
zákonů (krizový zákon)
Nařízení vlády
č. 432/2010 Sb.,
o kritériích pro
určení prvku KI
ve znění novely
č. 315/2014 Sb.
ZKB
Významný
informační
systém
(VIS)
definuje
určuje
kritéria
definuje
definuje
Vyhláška
č. 317/2014 Sb.,
o významných
informačních
systémech
a jejich
určujících
kritériích
Vyhláška
č. 82/2018 Sb.,
o kybernetické
bezpečnosti
(VKB)
provádí provádí
NÚKIB
Regulovaná
osoba
ISMS
vydává,
novelizuje
kontroluje soulad
ISMS orgánu nebo osoby
se zákonem
provádí
alespoň
v rozsahu
stanoveném
v ZKBurčuje
kritéria
Vyhláška č. 437/2017 Sb., o kritériích pro
určení provozovatelů
základních služeb
provádí
spolupracuje
má povinnost
řídit se
Informační
systém základní
služby
(ISZS)
Základní
služba
(ZS)
definuje
určuje
kritéria
definuje
určuje
kritéria
Digitální
služba
(DS)
definuje
poskytování je
závislé na
Kritická
infrastruktura
(KI)
Kritická
informační
infrastruktura
(KII)
podporuje,
je součástí
využívá
aktiva
Prováděcí
nařízení Komise
(EU)
2018/151
ze dne
30. ledna 2018
určuje
některá
kritéria
Poskytovatel digitální služby ( 3 písm. h).
digitální službou je služba informační společnosti podle zákona upravujícího některé služby
informační společnosti, která spočívá v provozování
1. on-line tržiště,
2. internetového vyhledávače,
3. cloud computingu.
Příklady: Internetové vyhledávače, cloudové služby, e-tržiště
Na veliké důležitosti zde nabývají definiční znaky služby informační společnosti.
Postup identifikace:
Orgán nebo osoba posoudí naplnění kritérií a nahlásí se jako povinná osoba Národnímu CERT.
DIGITÁLNÍ SLUŽBA
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 372020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
KYBERNETICKÁ BEZPEČNOST
38TLP: WHITE 382020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Ochrana infrastruktury v České republice – Základní povinnosti
Zavedení a provádění bezpečnostních opatření ( 4 a 5).
Nejdůležitější povinnost ze zákona – detailně uvedeny ve vyhlášce o kybernetické bezpečnosti.
Hlášení kontaktních údajů ( 16).
Národnímu CERT nebo NÚKIB – v závislosti na typu povinné osoby.
Hlášení incidentů ( 8).
Národnímu CERT nebo NÚKIB – v závislosti na typu povinné osoby.
Provádění opatření – varování, reaktivního a ochranného opatření ( 11 a násl.).
NÚKIB vydává formou jiné správního aktu (varování), opatření obecné povahy (reaktivní nebo
ochranné opatření) nebo rozhodnutí (reaktivní opatření).
ZÁKLADNÍ POVINNOSTI
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 392020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
KYBERNETICKÁ BEZPEČNOST
40TLP: WHITE 402020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Ochrana infrastruktury v České republice – Základní povinnosti Hlášení kontaktních údajů
HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 412020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
FORMULÁŘ A NÁVOD HLÁŠENÍ KONTAKTNÍCH ÚDAJŮ
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 422020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
KYBERNETICKÁ BEZPEČNOST
43TLP: WHITE 432020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Ochrana infrastruktury v České republice – Základní povinnosti Hlášení kybernetických bezpečnostních incidentů
HLÁŠENÍ KYBERNETICKÝ BEZPEČNOSTNÍCH INCIDENTŮ
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 442020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
FORMULÁŘ HLÁŠENÍ KYBERNETICKÝ BEZPEČNOSTNÍCH INCIDENTŮ
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 452020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
KYBERNETICKÁ BEZPEČNOST
46TLP: WHITE 462020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Ochrana infrastruktury v České republice – Základní povinnosti Provádění opatření
Varování ( 12)
Úřad vydá varování, dozví-li se o hrozbě v oblasti kybernetické bezpečnosti.
Reaktivní opatření ( 13)
Úřad vydá rozhodnutí, ve kterém uloží provést reaktivní opatření k řešení kybernetického
bezpečnostního incidentu anebo k zabezpečení informačních systémů nebo sítí a služeb
elektronických komunikací před kybernetickým bezpečnostním incidentem.
Ochranné opatření ( 14)
Úřad za účelem zvýšení ochrany informačních systémů nebo služeb a sítí elektronických
komunikací a na základě analýzy již vyřešeného kybernetického bezpečnostního incidentu jako
ochranné opatření vydá opatření obecné povahy, ve kterém stanoví způsob zvýšení ochrany
informačních systémů nebo služeb a sítí elektronických komunikací a přiměřenou lhůtu k jeho
provedení.
5 odst. 1 písm. h) bod 3. vyhlášky o kybernetické bezpečnosti: Povinná osoba v rámci řízení
rizik opatření podle 11 zákona
ZÁKLADNÍ POVINNOSTI
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 472020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
KYBERNETICKÁ BEZPEČNOST
48TLP: WHITE 482020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Ochrana infrastruktury v České republice – Základní povinnosti Zavedení a provádění bezpečnostních opatření
BEZPEČNOSTNÍ OPATŘENÍ
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 492020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Zákon o kybernetické bezpečnosti uvádí v 5 výčet bezpečnostních opatření
= 25 sad opatření, dále konkretizovaných vyhláškou o kybernetické bezpečnosti.
ORGANIZAČNÍ TECHNICKÁ
ŘÍZENÍ RIZIK
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 502020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
AKTIVUM DŮLEŽITOST
AKTIVA
ÚVAHA
(hodnocení aktiv)
HROZBA
PRO AKTIVUM
ZRANITELNOST
AKTIVA
HODNOTA
RIZIKA
VZRŮSTÁ
HODNOTA
RIZIKA
KLESÁ
ÚVAHA
(hodnocení rizik)OPATŘENÍ
ŘÍZENÍ RIZIK
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 512020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Upraveno dle : Smejkal, V., Rais, K., Řízení rizik ve firmách a jiných organizacích, GRADA
ORGANIZAČNÍ OPATŘENÍ
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 522020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Systém řízení bezpečnosti informací
Řízení aktiv
Řízení rizik
Organizační bezpečnost
Bezpečnostní role
Řízení dodavatelů
Bezpečnost lidských zdrojů
Řízení provozu a komunikací
Řízení změn
Řízení přístupu
Akvizice, vývoj a údržba
Zvládání kybernetických bezpečnostních
událostí a incidentů
Řízení kontinuity činností
Audit kybernetické bezpečnosti
Bezpečnostní politika a bezpečnostní
dokumentace
TECHNICKÁ OPATŘENÍ
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 532020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Fyzická bezpečnost
Bezpečnost komunikačních sítí
Správa a ověřování identit
Řízení přístupových oprávnění
Ochrana před škodlivým kódem
Zaznamenávání událostí informačního
a komunikačního systému, jeho uživatelů
a administrátorů
Detekce kybernetických bezpečnostních
událostí
Sběr a vyhodnocování kybernetických
bezpečnostních událostí
Aplikační bezpečnost
Kryptografické prostředky
Zajišťování úrovně dostupnosti informací
Průmyslové, řídící a obdobné specifické
systémy
Nedostatečná podpora kybernetické bezpečnosti vedením organizace,
kybernetická bezpečnost není vnímána jako běžná součást bezpečnostní kultury organizace,
porušování bezpečnostních opatření (pravidel) top managementem.
(Ne)systematicky přistupovat k procesu řízení aktiv a rizik
neexistující metodika, není postupováno v souladu s metodikou
Plán zvládání rizik nerespektuje výsledky analýzy rizik nebo vůbec neexistuje
Předložená dokumentace není platná / řízená / úplná
Nevhodné organizační zařazení kybernetické bezpečnosti
bezpečnost není oddělena od provozu
Přístup všechno outsourcovat
obrovská závislost na dodavatelích (neřízená)
Nákup technologie pouze z důvodu požadavku vyhlášky
(Ne)řízení kontinuity činností
NEJČASTĚJŠÍ ZJIŠTĚNÍ (2018)
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 542020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
KYBERNETICKÁ BEZPEČNOST
55TLP: WHITE 552020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Národní úřad pro kybernetickou a informační bezpečnost
TROCHA HISTORIE
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 562020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
1. srpna 2017
Gestor kybernetické bezpečnosti v České republice
Ochrana utajovaných informací pro oblast informačních a komunikačních systémů
Kryptografická ochrana
Problematika veřejně regulované služby navigačního systému Galileo (PRS)
Sídlo úřadu v Brně
2 detašovaná pracoviště v Praze
Celkem 203 pracovníků
Rozpočet 370 000 000 Kč
NÚKIB
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 572020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
NAŠE ČINNOSTI
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 582020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Vytváříme národní strategie kybernetické
bezpečnosti.
Na mezinárodním poli hájíme pozice České
republiky v oblasti kybernetické bezpečnosti.
Připravujeme národní bezpečnostní standardy
v oblasti kybernetické bezpečnosti.
Stanovujeme ochranu utajovaných informací
v oblasti informačních a komunikačních systémů.
URČUJEME PRVKY KRITICKÉ INFORMAČNÍ INFRASTRUKTURY, PROVOZOVATELE ZÁKLADNÍ SLUŽBY A POMÁHÁME
S IDENTIFIKACÍ VÝZNAMNÝCH INFORMAČNÍCH SYSTÉMŮ
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 592020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
PROVOZUJEME VLÁDNÍ CERT ČESKÉ REPUBLIKY (GOVCERT.CZ) A SPOLUPRACUJEME S OSTATNÍMI CERT
A CSIRT BEZPEČNOSTNÍMI TÝMY DOMA I PO CELÉM SVĚTĚ
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 602020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
VYKONÁVÁME FUNKCI TZV. PŘÍSLUŠNÉHO ORGÁNU PRS (COMPETENT PRS AUTHORITY) V RÁMCI IMPLEMENTACE
SLUŽBY PRS NAVIGAČNÍHO SYSTÉMU GALILEO
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 612020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
PŘIPRAVUJEME A KOORDINUJEME KYBERNETICKÁ CVIČENÍ JAK V ČESKÉ REPUBLICE, TAK V ZAHRANIČÍ
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 622020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
DĚLÁME OSVĚTU V OBLASTI KYBERNETICKÉ BEZPEČNOSTI
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 632020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
PODPORUJEME VZDĚLÁVÁNÍ V OBLASTI KYBERNETICKÉ BEZPEČNOSTI
Web:
Sli.do
Event code:
CyberJeCool
TLP: WHITE 642020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda
Martin Švédareferent bezpečnosti státu, odbor regulace
E-mail: [email protected]: +420 601 117 527PGP: 2439 17F3 EBDD 32DE 3DD8 ED57 1BF2 719F A2FD E429
65TLP: WHITE 652020 Národní úřad pro kybernetickou a informační bezpečnost, www.nukib.cz, Martin Švéda